Mtoa huduma wa usalama Ivanti kwa mara nyingine tena amejipata katikati ya msururu wa ukiukaji unaoongezeka baada ya kubainika kuwa udhaifu wawili uliofichuliwa hivi karibuni katika idadi ya bidhaa zake una uwezekano wa kunyonywa na watendaji tishio wanaoungwa mkono na China. Udhaifu unaozungumziwa – ambao umeteuliwa CVE-2025-0282 na CVE-2025-0283 – unaathiri Ivanti’s Connect Secure, Policy Secure na Neurons kwa bidhaa za lango la ZTA. Unyonyaji wa kwanza huwezesha mwigizaji tishio kufikia utekelezaji wa msimbo wa kijijini ambao haujaidhinishwa (RCE), na unyonyaji wa pili huwezesha mshambulizi aliyeidhinishwa ndani ya nchi kuongeza upendeleo wao. CVE-2025-0282 ni rasmi siku sifuri, na tayari imeongezwa kwenye katalogi ya Wakala wa Usalama wa Mtandao na Miundombinu (CISA’s) Inayojulikana Kukabiliana na Athari Zinazodhuru (KEV). Huko Uingereza, msemaji wa Kituo cha Kitaifa cha Usalama wa Mtandao (NCSC), alisema: “NCSC inafanya kazi kuelewa kikamilifu athari za Uingereza na kuchunguza kesi za unyonyaji unaoathiri mitandao ya Uingereza.” Katika ulimwengu wa kweli, Ivanti alisema, idadi ndogo ya watumiaji wa vifaa vyake vya Connect Secure wameathiriwa na CVE-2025-0282 kufikia Alhamisi 9 Januari 2025. Hata hivyo, hakuna watumiaji wa Policy Secure au lango la ZTA wameathiriwa, na kama ya 9 Januari, hakukuwa na ushahidi kamili kwamba CVE-2025-0283 ilikuwa imenyonywa hata kidogo. Kiraka sasa kinapatikana kwa CVE zote mbili katika Unganisha Secure, lakini kwa sasa, zote mbili hazijabandikwa katika Sera ya Usalama na Neurons za ZTA, na marekebisho hayatarajiwi hadi 21 Januari. Msemaji wa Ivanti alisema: “Tunaendelea kufanya kazi kwa karibu na wateja walioathirika, washirika wa usalama wa nje, na vyombo vya kutekeleza sheria tunapokabiliana na tishio hili. Tunawashauri sana wateja wote kufuatilia kwa karibu ICT yao ya ndani na nje kama sehemu ya mbinu thabiti na ya tabaka la usalama wa mtandao ili kuhakikisha uadilifu na usalama wa miundombinu yote ya mtandao. “Tumeweka rasilimali za ziada na timu za usaidizi kupatikana ili kusaidia wateja katika kutekeleza kiraka na kushughulikia maswala yoyote. “Asante kwa wateja wetu na washirika wa usalama kwa ushirikiano wao na usaidizi, ambao uliwezesha ugunduzi wetu wa haraka na kukabiliana na suala hili,” waliongeza. “Tunasalia kujitolea kuendelea kuboresha bidhaa na michakato yetu kupitia ushirikiano na uwazi. “Tukio hili linatumika kama ukumbusho wa umuhimu wa ufuatiliaji unaoendelea na hatua za usalama na zenye safu, haswa kwa vifaa vya makali (kama vile VPN) ambavyo hutoa huduma muhimu kama sehemu ya awali ya kufikia mtandao wa shirika – lakini ambayo pia inavutia sana. kwa washambuliaji.” Muunganisho wa hivi punde nchini China Kulingana na Mandiant wa Google Cloud, ambayo imekuwa ikifanya kazi pamoja na Ivanti katika uchunguzi na urekebishaji, angalau katika tukio moja, muigizaji tishio ameweza kutumia dosari kusambaza vipengele vya mfumo wa ikolojia wa SPAWN, ikiwa ni pamoja na SPAWNMOLE, kichuguu. , na SPAWNSNAIL, mlango wa nyuma wa SSH. Watafiti wa Mandiant walisema matumizi ya programu hasidi hizi kufuatia kulengwa kwa bidhaa za Ivanti yamehusishwa na kundi la shughuli za vitisho za UNC5337, ambalo linahusishwa na UNC5221, kundi linaloshukiwa kuwa la kijasusi na China ambalo linajulikana kunyonya udhaifu mwingine wa Ivanti mapema mwaka wa 2024. Kuandika kwenye LinkedIn, afisa mkuu wa teknolojia wa Mandiant Charles Carmakal alielezea UNC5221 ya hivi punde kampeni kama inavyoendelea na bado inachambuliwa, na kudokeza kuwa kunaweza kuwa na watendaji wengine tishio katika mchanganyiko huo. Akielezea hali ya “unyonyaji wa watu wengi”, aliwataka watumiaji wa Ivanti kutanguliza kutumia viraka vipya mara moja. Hata hivyo, alionya, mchakato huu unaweza kuwa bila hatari. “Mwigizaji tishio alitekeleza mbinu mpya ya kuwahadaa wasimamizi kufikiria kuwa wameboresha mfumo,” aliandika. “Mwigizaji tishio alituma programu hasidi ambayo inazuia uboreshaji halali wa mfumo huku ikionyesha upau wa uboreshaji wa uboreshaji bandia. Hii inaunda sura ya kushawishi ya sasisho lililofanikiwa, wakati kwa kweli, programu hasidi huzuia uboreshaji halisi usifanyike. Baadhi ya mashirika yanaweza kudhani yameshughulikia uwezekano wa kuathiriwa wakati kwa kweli hayajashughulikia. Aliongeza kuwa washambulizi hao wanaweza pia kuwa walicheza na Zana ya Kukagua Uadilifu ya Ivanti – iliyoundwa kusaidia watumiaji kutambua maelewano – kuficha ushahidi wa uwepo wa programu hasidi. ‘Lichukulie hili kwa uzito’ Benjamin Harris, Mkurugenzi Mtendaji wa WatchTowr, mtaalamu wa usimamizi wa maeneo ya mashambulizi, aliwataka watumiaji wa Ivanti kuzingatia kwa karibu maendeleo ya hivi punde. “Wasiwasi wetu ni muhimu kwani hii ina alama zote za matumizi ya APT ya siku sifuri dhidi ya kifaa muhimu cha utume,” alisema. “Pia inafanana na tabia na mchezo wa kuigiza unaozunguka bidhaa za Ivanti ambazo sisi kama tasnia tuliona mnamo Januari 2024, na tunaweza kutumaini kuwa Ivanti amejifunza kutokana na uzoefu huo kuhusu kuchukua hatua madhubuti.” Harris aliongeza kuwa ukosefu wa viraka kwenye safu nzima ya bidhaa iliyoathiriwa inapaswa kuwa jambo la ziada. “Watumiaji wa Ivanti Connect Secure wana kiraka kinachopatikana, lakini kwa mara nyingine tena – viraka vya vifaa vingine vilivyoathiriwa kama vile Secure ya Sera ya Ivanti na Neurons kwa lango la ZTA vinasalia kusubiri wiki tatu kwa kiraka. Watumiaji wa bidhaa hizi hawapaswi kusita – vifaa hivi vinapaswa kuvutwa nje ya mtandao hadi viraka vipatikane,” alisema. “Mteja wa WatchTowr au la – tunahimiza kila mtu tafadhali alichukulie hili kwa uzito. Tupa SLA zako za kuathirika katika hali kama hii, hazifai tena na tofauti kati ya majibu ya haraka, na jibu kwa saa, inaweza kuwa tofauti kati ya shirika lako kupiga bima yako ya mtandao au la.